密信各種郵件證書的用途簡介
1. 郵件加密的現狀
大家都知道,郵件是明文必須加密,就像http是明文必須是https加密一樣,郵件MIME協定是明文,必須採用S/MIME證書加密。但是用證書加密非常繁瑣,導致S/MIME加密一直無法得到普及應用,這個問題如何解決呢?請同時參考“電子郵件全自動加密和簽名解決方案”,這篇文章講得非常透徹。
密信研發郵件用戶端的出發點是因為實現S/MIME加密太複雜,我們希望能讓用戶無需關心證書這事,使用密信App就會自動配置郵件證書,自動用證書加密,無需費時費力費錢去向CA購買和申請郵件證書。所以,雖然密信App用到了各種郵件證書,但我們並沒有同用戶講清楚這些證書有什麼用,甚至我們當初設計在使用者介面上不展示使用者證書。
但是,要改變一個已經沿用了20年的使用習慣是比較難的,特別是以前已經申請過郵件證書的用戶,為了幫助用戶理解郵件證書的作用,特在此介紹一下密信App中用到的各種郵件證書的作用和用途。
2. 密信電子郵件數位簽章和加密服務用到了哪幾種郵件證書?為何要用到這麼多種證書?
目前全球各大知名CA銷售的S/MIME郵件證書都是單證書(.pfx/.p12),證書用途含有加密和數位簽章兩個用途,一張證書可以同時用於郵件數位簽章和加密,這是為了在發送簽名郵件的同時交換了加密公鑰,以便對方能自動用加密公鑰實現郵件加密。
而密信研發團隊發現:之所以S/MIME加密無法普及應用,是因為公鑰管理太複雜,交換公鑰太麻煩。於是決定借鑒各大雲服務提供者提供的雲公鑰管理模式把加密公鑰放到雲端,讓用戶可以隨時按需獲取加密公鑰用於加解密郵件,讓其他使用者根據需要隨時可以獲取收件人的加密公鑰用於發加密郵件給收件人,而無需事先同收件人交換公鑰。而傳統的郵件證書是單證書,這就意味著用戶的簽章憑證私密公鑰也必須在託管在雲端,這將導致無法讓用戶確信簽名行為的可控性。怎麼辦?
密信技術的解決方案是把傳統的一張郵件證書拆分為兩張證書(一張簽章憑證和一張加密證書),加密證書公鑰在雲端生成並安全加密託管在雲端,用戶在完成郵箱控制權驗證後就可以自動從雲端獲取取到加密證書公鑰來自動解密已加密郵件,使得用戶無需費時費力申請和導入郵件證書,完美實現全自動郵件加解密。而用戶發送加密郵件時密信App會自動到雲端密信全球公鑰庫獲取收件人的加密證書公鑰實現全自動發送加密郵件,使得用戶無需事先交換公鑰,真正實現無感全自動郵件加密和解密。而簽章憑證由於有使用者的身份資訊,使用者的簽名行為具有法律效力,所以,密信把簽章憑證設計為使用者在本地設備上生成公鑰,並在本地設備上加密保存公鑰。也可以理解為簽章憑證為設備身份證書,每個設備在使用密信App時都會生成一張新的簽章憑證,這就是為何用戶看到密信App在不同設備上的簽章憑證的序號是不一樣的原因。
密信技術把傳統的一張郵件證書拆分成兩張證書並根據簽名和加密的兩個不同用途採用不同的公鑰管理方式,完美地解決了S/MIME郵件加密服務的易用性難題,同時繼承了S/MIME郵件簽名的不可假冒、不可偽造和不可抵賴的特點,使得S/MIME郵件加密技術真正能實現零門檻無縫使用,用戶無需關心證書在哪,只需像平常一樣寫好郵件點擊發送即可自動發送加密郵件和自動接收和解密已加密郵件。
總結一下,密信App用到的數位憑證有3種:
- (1) 傳統的雙用途(簽名和加密)數位憑證,簡稱為“郵件證書”,這個是為了相容目前全球各大CA提供的全球信任的郵件證書;
- (2) 僅用於數位簽章的證書,稱為“簽章憑證”;
- (3) 僅用於加密的證書,稱為“加密證書”。
對於簽章憑證,如果用戶只是完成了郵箱驗證,則自動配置的簽章憑證稱之為“郵件簽章憑證”或直接簡稱為“簽章憑證”。如果用戶已經完成身份認證,則又稱之為“身份證書”。對於個人使用者,通過實名認證後自動配置的簽章憑證稱之為“個人身份證書”(以前稱為V2簽章憑證);而對於單位使用者,單位完成身份認證後給所有員工郵箱自動配置的簽章憑證稱之為“單位郵件證書”(以前稱為V3簽章憑證);單位員工完成實名認證後自動配置的簽章憑證稱之為“單位員工證書”(以前稱為V4簽章憑證)。
另外,密信技術全球獨創在數位簽章郵件的同時附署時間戳記簽名,所以,還會用到“時間戳記簽章憑證”。
也就是說,密信App一共用到了7種不同的數位憑證(加密證書、簽章憑證、個人身份證書、單位郵件證書、單位員工證書、Vp郵件證書和時間戳記簽章憑證),具體不同證書的用途在下節詳細講解。
3. 各種證書的不同用途
3.1 加密證書
用戶成功設置郵箱後,密信App會自動向密信證書簽發系統申請加密證書並自動下發和配置使用,使用者無需再向其他CA申請郵件證書就可以馬上發送加密郵件和解密已加密的郵件了。加密證書僅驗證郵箱控制權,每個郵箱綁定一張加密證書,同一個郵箱在多台設備使用密信App時加密證書是同一張證書,方便所有設備都能解密各個設備發出的加密郵件。
用戶可以在密信App的“設置”-“證書管理”中查看加密證書,如下左圖所示,證書資訊前面有一個加密鎖標識;點擊“查看證書”,能看到證書公鑰用法為“Key Encipherment”(加密公鑰),如下圖二所示;如果在Windows中查看,如下圖三所示,證書主題僅顯示使用者郵箱,公鑰用法為“Key Encipherment (20)”,如下圖四所示。
3.2 四種簽章憑證
(1) 簽章憑證
用戶成功設置郵箱後,密信App會自動在使用者設備本地生成公鑰對,並生成證書請求檔提交到密信證書簽發系統申請簽章憑證並自動下發和配置使用,使用者無需再向其他CA申請簽章憑證就可以馬上發送數位簽章郵件了。這張證書我們就稱之為“密信簽章憑證”或“簽章憑證”,免費版使用者自動免費配置,僅驗證郵箱控制權,證書主題僅顯示郵箱。如果使用者在多台設備使用密信App登錄同一郵箱,則每台設備都是一張不同的簽章憑證,不僅用於郵件數位簽章,同時也是用於綁定設備的設備安全證書,用於同密信雲端通信強身份認證和加密通信。
用戶可以在密信App的“設置”-“證書管理”中查看簽章憑證,如下左圖所示,證書資訊前面有一個簽名圖示,在密信App 中使用V1標識,;點擊“查看證書”,能看到證書公鑰用法為“Digital Signature, Non-repudiation”(數位簽章, 不可抵賴),如下圖二所示;如果在Windows中查看,如下圖三所示,證書主題僅顯示使用者郵箱,公鑰用法為“Digital Signature, Non-repudiation (c0)”。
(2) 個人身份證書
如果個人使用者選購了個人專業版服務,則密信App還會自動配置含有個人身份資訊如姓名、省市和國家的個人身份證書,在密信App 中使用V2標識,如下左邊兩圖所示;如果使用者申請了英文證書,則會顯示使用者英文名,如下右邊兩圖所示,其中證書主題中的G欄位顯示證件語言的名,SN欄位顯示證件語言的姓。
(3) 單位郵件證書
如果使用者選購了單位專業版服務,則密信App會為所有員工免費自動配置含有單位身份資訊如單位名稱、省市和國家的單位郵件證書,在密信App 中使用V3標識,不限員工數量,單位帳戶管理員需要驗證單位郵箱功能變數名稱後才能自動配置,如下左邊兩圖所示;如果使用者申請了英文單位名稱,則使用者可以登錄密信帳戶免費領取英文單位名稱的單位身份證書用於密信App英文版,如下圖三所示。
(4) 單位員工證書
如果使用者選購了單位專業版服務,則服務套餐中含有10張單位員工證書。單位員工按要求完成實名認證後,密信App還會自動配置含有單位員工身份資訊如員工姓名、職位和單位名稱、省市和國家的單位員工證書,在密信App中使用V4標識,如下左邊兩圖所示;如果使用者申請了英文單位名稱,則使用者可以登錄密信帳戶免費領取英文單位名稱的單位員工證書用於密信App英文版,如下右邊兩圖所示。
為何需要申請單位員工認證呢?因為通過單位認證只能證明單位身份已經驗證,而員工的身份並沒有認證,所以密信App展示單位郵件證書簽名的郵件只會顯示單位名稱,不會顯示員工姓名。而員工通過認證後則密信App會為員工自動配置含有員工姓名等資訊的單位員工證書,並用單位員工證書數位簽章郵件,收件人收到郵件後會顯示此員工的姓名、職位和單位名稱,讓收件人更加確信寄件者的真實員工身份。如下圖左圖為單位郵件證書簽名顯示,右邊為單位員工證書簽名顯示。
3.3 Vp郵件證書
上面說的加密證書和簽章憑證都是密信信任的郵件證書,如果非密信App用戶(如Outlook用戶)收到密信App用戶發送的用V1/V2/V3/V4簽章憑證數位簽章的郵件,Outlook會提示“該簽名有問題,數位簽章無效”之類警告資訊,這會引起收件人對寄件者的身份的懷疑。
考慮到這個相容問題,密信技術聯手全球知名CA--Sectigo推出了全球信任的郵件證書—Vp郵件證書,此證書由Sectigo全球信任根證書簽發,身份驗證級別同免費版自動配置的簽章憑證和加密證書,也是僅需驗證郵箱控制權。在密信App 中使用Vp標識,如下圖一所示。此證書的憑證連結如下圖二所示,證書主題資訊如下圖三所示。Vp郵件證書為單證書,證書用途包含簽名和加密(“Digital Signature, Key Encipherment”),如下圖四所示。
3.4 雙證書雙簽名創新應用(身份證書+Vp郵件證書)
用戶可以通過購買入門版或專業版服務自動獲取Vp郵件證書,密信App會自動默認設置Vp郵件證書為默認簽章憑證和加密證書。密信App會自動把全球信任的Vp郵件證書和密信信任的含有使用者身份資訊的簽章憑證緊密結合起來,完美實現電子郵件雙證書雙數位簽章,從而實現數位簽章全球信任和用戶身份全球可信。
如下左圖所示,密信App用戶發出的一封簽名和加密郵件,其他密信App用戶收到後會驗證郵件簽名中的身份資訊並展示此使用者的已驗證身份資訊;而如果收件人用Outlook等郵件用戶端查看,則驗證郵件中用Vp郵件證書簽名的身份資訊並顯示此使用者的數位簽章是可信的,如下右圖所示。這個解決方案既解決了由密信App發出的簽名郵件在其他郵件用戶端軟體顯示為無效數位簽章的警告問題,又能幫助密信App用戶有效地識別寄件者的真實身份,徹底解決郵件欺詐問題。
我們再來看各種簽章憑證加Vp郵件證書實現的雙簽名在密信App的展示有什麼不同。如下左圖所示,如果用戶選購的是入門版服務,密信App展示寄件者發送的簽名郵件時會顯示Vp標識及“郵箱已驗證,身份未認證,數位簽章全球信任”。如下右圖所示,如果用戶選購的是個人專業版,密信App展示寄件者發送的簽名郵件時會顯示V2和Vp標識、個人姓名和“身份真實可信,數位簽章全球信任”。
如果使用者選購的是單位專業版,如下左圖所示 ,密信App展示寄件者發送的簽名郵件時會顯示V3和Vp標識、單位名稱和“身份真實可信,數位簽章全球信任”。而如果寄件者已經完成單位員工實名認證,則密信App展示寄件者發送的簽名郵件時會顯示V4和Vp標識、員工姓名、職位、單位名稱和“身份真實可信,數位簽章全球信任”,如下右圖所示。
從上面的密信App展示應該能解釋為何用戶已有Vp郵件證書還需要其他含有身份資訊的簽章憑證,因為Vp郵件證書只驗證用戶郵箱,沒有驗證使用者的真實身份資訊,無法解決郵件身份欺詐問題,只有加上已驗證用戶身份的簽章憑證才能讓用戶確信寄件者的身份,增強線上信任。密信App獨家采了雙證書雙簽名的技術完美地解決了數位簽章全球信任和用戶身份全球可信的難題。
3.5 時間戳記證書
密信獨創了郵件時間戳記簽名,採用國際標準RFC3161時間戳記在郵件數位簽章上附署時間戳記簽名資料,密信App使用 
來標識此郵件帶有時間戳記簽名資料,如下左圖所示,證明郵件發送時間並非是用戶電腦或郵件伺服器上的不可信時間,而是來自密信時間戳記服務的可信時間,可用於需要證明郵件發送時間的應用場景。點擊時間戳記標識,則會顯示時間戳記證書資訊,如下右兩圖所示,顯示此證書的目的是用於時間戳記簽名,證書由密信根證書“MeSince
Identity CA”簽發。
3.6 國密郵件證書
密信技術採用了RSA郵件證書和S/MIME國際標準來實現電子郵件的數位簽章和加密,而密信技術的另一個創新就是遵循國密演算法相關標準和國家標準GB/T 35275-2017來實現電子郵件國密演算法數位簽章和加密,滿足用戶的國密合規需求。用戶無需向其他CA申請國密證書,只需在密信App中設置預設加密演算法為國密SM2演算法即可實現國密郵件數位簽章和加密。
密信國密演算法郵件證書也有加密證書和四種不同的簽章憑證,同時也有時間戳記證書,只是沒有Vp郵件證書。而密信App同時支援RSA演算法和國密SM2演算法,使用者可以根據需要選擇預設演算法為RSA演算法還是SM2演算法,如下圖左一圖所示,如果用戶選購的是信創版服務,則密信App預設設置密碼演算法為SM2。而下面的右邊5個圖分別為國密加密證書和四種不同的國密簽章憑證。
密信App對於國密SM2演算法數位簽章和加密的展示同RSA演算法一樣,如下圖所示,寄件者用SM2單位員工證書簽名和SM2加密證書加密。
4. 小結
也許您看了以上各種證書的介紹,覺得真的是太複雜了,也許還有不少疑問,其實您不用搞懂這些!您需要的是郵件加密,而不是郵件證書!
您只需要 下載
安裝密信App,設置您的郵箱,點擊“寫郵件”,填寫收件人郵箱,就可以給他/她輕鬆發送加密和數位簽章郵件了!就是這麼簡單!
